Nagib Aouini, DuoKey: «La pandémie a accéléré l'adoption de notre solution de protection des données»
Troisième du dernier programme Tech4Trust, la start-up vaudoise DuoKey multiplie les partenariats et vient d’intégrer l'accélérateur global Microsoft for Startups. CEO et fondateur, Nagib Aouini se confie sur cette aventure entrepreneuriale et sur la technologie de protection des données qu’il a imaginée.
Dans quelles circonstances avez-vous décidé de fonder DuoKey?
Je ressentais depuis longtemps l’envie de me lancer comme entrepreneur. Après plusieurs années à travailler pour Thales puis Elca, j’ai été engagé en 2019 en tant que CISO de la cryptobanque suisse Seba. Avec pour responsabilité de protéger les données et d'être conforme aux réglementations de la FINMA en la matière. L’infrastructure IT reposant entièrement sur le cloud, pour croître et innover rapidement, je me suis heurté à un défi: sans contrôle total sur les clés d’encryptions des données clients stockées dans le cloud, les banques ne remplissent pas les exigences de conformité. Se baser sur des boîtiers hardware de sécurité (HSM) pour gérer les clés de chiffrement aurait été une solution demandant trop de ressources, aussi bien financièrement qu’en effectif. Ainsi m’est venu l’idée de faire appel à des algorithmes de calcul multipartite, ce qu’on appelle le MPC, qui permettent d’avoir des clés de chiffrement distribuées. Cette technologie est aujourd’hui au cœur de la start-up DuoKey, fondée formellement fin 2020.
Quels sont les principaux bénéfices de votre technologie?
Avec notre approche, la clé n’existe nulle part et à aucun moment dans sa totalité. Cette architecture distribuée est une réelle valeur ajoutée, notamment pour les entreprises qui emploient le service de chiffrement à double clé pour Microsoft 365. Avec notre solution logicielle qui découpe les clés et permet de stocker les différentes parties avec une approche multicloud, les entreprises profitent d’une couche supplémentaire de sécurité et de protection des données, tout en se protégeant contre le vendor lock-in.
Le chiffrement cloud en mode distribué est-il l’unique use case de DuoKey?
Non, les déclinaisons possibles sont multiples. Notamment dans le domaine de l’IoT, par exemple pour sécuriser des voitures connectées et éviter que des hackers ou qu’un fournisseur cloud puissent avoir accès aux clés de mise à jour des véhicules. Notre technologie permet aussi le partage confidentiel de données, par exemple pour effectuer des analyses de données sensibles comme les données médicales d’un hôpital. Nous pourrions créer une solution qui collecte les données médicales des patients atteints de COVID-19 sans les montrer, en les chiffrant, mais en affichant en clair des statistiques exploitables ou d’autres indicateurs en fonction des besoins. Nous collaborons aussi avec la société américaine Hashicorp et leur technologie Vault, pour sécuriser les mots de passe utilisés dans des architectures cloud via notre module DuoKey pour Vault, qui protège les clés maîtres et évite aux opérateurs de ressaisir les clés maîtres à chaque démarrage de Vault.
Avec quels fonds avez-vous démarré l’aventure DuoKey et quels soutiens avez-vous reçu?
L'entreprise a démarré grâce à des fonds propres. Nous avons en outre reçu passablement d’aide venant de structures suisses de soutien aux start-up, également pour gagner en visibilité. Nous avons terminé troisième du dernier programme de l'accélérateur Tech4Trust, intégré à la Trust Valley, et avons été incubés à La Forge de l’EPFL Innovation Park. L'association de soutien aux start-up Innovaud sponsorise aussi certains financements de brevets. Depuis peu, nous avons intégré le programme global Microsoft for Startups, qui va nous permettre d'accélérer notre développement à l’international, notamment via la commercialisation de notre solution sur la marketplace Microsoft Azure. Nous sommes aujourd’hui bénéficiaires, mais nous devons évidemment poursuivre nos investissements R&D. Dans cette optique, nous réalisons en ce moment un tour de table.
Combien avez-vous de collaborateurs et de clients?
Jean-Luc Beuchat, professeur à la HES-SO Valais-Wallis spécialisé en cryptographie, a récemment rejoint DuoKey en tant que Scientist Advisor. D’autres experts ont été recrutés et notre effectif s'élève aujourd’hui à sept personnes, en mode de collaboration à distance. On collabore d’ailleurs étroitement avec la HES-SO Valais-Wallis sur des projets de recherche. On ambitionne de tripler nos effectifs d’ici fin 2021. En quelques mois, nous sommes parvenus à signer avec trois clients importants, dans les secteurs de l’automobile, du luxe et de l'humanitaire. C’est rapide. Je pense que la pandémie a accéléré l'adoption de notre solution: toujours plus d'entreprises souhaitent en effet migrer rapidement vers le cloud tout en gardant le contrôle sur leurs données et de leur clé de chiffrement. Via nos partenaires, nous avons aussi des clients dans les secteurs des banques privées, de l’éducation ou de la santé.
En quoi consiste votre programme pour partenaires?
Nous avons sélectionné des partenaires qui se chargent de la partie consulting et services, en nous basant sur leurs capacités dans les domaines du cloud et de la sécurité IT. Je peux mentionner One Step Beyond, Kyos, AdNovum ou encore Securosys. Ces prestataires intègrent notre technologie au sein de leur offre respective, parfois en white label. Notre solution a l'avantage d'être compatible à la fois avec des modules MPC et des modules hardware de différents fabricants.
Comment se positionne votre offre par rapport aux technologies d’informatique confidentielle et à la blockchain?
Le confidential computing protège les données en mémoire dans les workloads cloud. Les fournisseurs cloud contrôlent les machines qui hébergent les données, ainsi que le trafic réseau SSL, et cette approche ne résout pas le problème de la souveraineté des données (car en fait le fournisseur contrôle les clés de chiffrement), contrairement à notre technologie qui encrypte les données avant leur transfert et stockage dans le cloud. Je crois en outre beaucoup à la blockchain. Je suis impliqué dans une autre start-up qui vient de clôturer une levée de fond de 25 millions de dollars, Partisia Blockchain, qui développe des solutions de protection des données combinant blockchain et MPC. Les deux technologies sont très complémentaires. DuoKey collabore avec Partisia sur un projet permettant la gestion de clés de chiffrement pour des domaines telles que l’e-ID et les enchères en ligne via NFT, tout en préservant l’anonymisation du montant des transactions, ce qui n’est pas possible facilement sur les autres blockchains.
